Ответы Mail
Компьютеры, Связь
Железо
Интернет
Мобильная связь
Мобильные устройства
Офисная техника
Программное обеспечение
Прочее компьютерное
Лидеры категории
Лена-пена
М.И.
Y.Nine
•••
Искусственный Интеллект
Искусственный Интеллект
Искусственный Интеллект
Голосование за лучший ответ
Галерный
(112085)
9 лет назад
Kaspersky Rescue Disk
Загрузочный носитель записывать на НЕ заражённом PC
Как с помощью Kaspersky Resсue Disk возобновить нормальную работу компьютера
Загрузочный носитель записывать на НЕ заражённом PC
Как с помощью Kaspersky Resсue Disk возобновить нормальную работу компьютера
Умный человек
(577)
9 лет назад
Как ликвидировать вирус и устранить последствия вирусной атаки
Пытаться лечить систему, когда вирус активен, – бессмысленное занятие: вы не сможете ни выгрузить его из памяти, ни удалить его ключи из Реестра.
1. Отключите ПК от локальной и Глобальной сетей.
2. Поскольку вирус загружается и в Безопасном режиме (Safe Mode), для его удаления воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander);
– запустите ERD Commander Explorer;
– в папке Temp удалите каталог E_4 (E_N4);
– в папке \Windows\ удалите файл csrss.exe;
– в папке \Windows\ удалите фай restore.exe;
– в папке \Documents and Settings\Имя_пользователя\ (Windows XP) – или в папке \Users\Имя_пользователя\ (Windows Vista и Windows 7) – удалите файл csrss.exe;
– нажмите Start –> Administrative Tools –> RegEdit;
– в окне ERD Commander RegistryEditor раскройте ветвь
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon], проверьте значение строкового (REG_SZ) параметра Shell (должно быть Explorer.exe);
– проверьте значение строкового (REG_SZ) параметра Userinit, – должно быть C:\Windows\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то <буква_диска>:\Windows\system32\userinit.exe,);
– раскройте ветвь
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon];
– удалите строковый (REG_SZ) параметр Taskman со значением C:\Users\Имя_пользователя\csrss.exe (Windows Vista и Windows 7) или "C:\Documents and Settings\Имя_пользователя\csrss.exe" (Windows XP);
– раскройте ветвь
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe];
– удалите строковый (REG_SZ) параметр Debugger со значением C:\WINDOWS\csrss.exe;
– удалите раздел
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CSRSS];
– раскройте ветвь
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Devices];
– удалите строковый (REG_SZ) параметр explorer.exe со значением explorer.exe;
– закройте ERD Commander RegistryEditor;
– нажмите Start –> Log Off –> Restart –> OK.
3. Загрузите ПК в штатном режиме;
– для предотвращения повторного самозаражения системы отключите восстановление системы (или вручную очистите папку System Volume Information);
– очистите кэш интернет-файлов;
– перезагрузите ПК;
– включите восстановление системы;
– просканируйте систему антивирусом со свежими базами.
Примечания
1. Будьте осторожны при манипуляциях с Реестром (см. Что такое Реестр Windows?)! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!
2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами (см. Как выбрать антивирус?) с регулярно (не менее одного раза в неделю!) обновляемыми базами.
3. Почаще делайте резервное копирование важной информации (см. Как избежать утраты информации?).
4. Чтобы различать подозрительные файлы, «косящие» под папки, можно отключить опцию Скрывать расширения для зарегистрированных типов файлов:
– откройте Мой компьютер, выберите меню Сервис –> Свойства папки… (или нажмите Пуск –> Настройка –> Панель управления –> Свойства папки);
– в открывшемся диалоговом окне Свойства папки откройте вкладку Вид;
– в разделе Дополнительные параметры снимите флажок Скрывать расширения для зарегистрированных типов файлов –> OK.
5. Отключите автозапуск компакт-дисков, съемных дисков и флешек (см. Windows: как отключить автозапуск компакт-дисков, съемных дисков и флешек?).
6. Вопреки заверениям разработчиков антивирусов, ни один антивирус не устранит последствия вирусной атаки, – это нужно сделать вручную!
Пытаться лечить систему, когда вирус активен, – бессмысленное занятие: вы не сможете ни выгрузить его из памяти, ни удалить его ключи из Реестра.
1. Отключите ПК от локальной и Глобальной сетей.
2. Поскольку вирус загружается и в Безопасном режиме (Safe Mode), для его удаления воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander);
– запустите ERD Commander Explorer;
– в папке Temp удалите каталог E_4 (E_N4);
– в папке \Windows\ удалите файл csrss.exe;
– в папке \Windows\ удалите фай restore.exe;
– в папке \Documents and Settings\Имя_пользователя\ (Windows XP) – или в папке \Users\Имя_пользователя\ (Windows Vista и Windows 7) – удалите файл csrss.exe;
– нажмите Start –> Administrative Tools –> RegEdit;
– в окне ERD Commander RegistryEditor раскройте ветвь
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon], проверьте значение строкового (REG_SZ) параметра Shell (должно быть Explorer.exe);
– проверьте значение строкового (REG_SZ) параметра Userinit, – должно быть C:\Windows\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то <буква_диска>:\Windows\system32\userinit.exe,);
– раскройте ветвь
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon];
– удалите строковый (REG_SZ) параметр Taskman со значением C:\Users\Имя_пользователя\csrss.exe (Windows Vista и Windows 7) или "C:\Documents and Settings\Имя_пользователя\csrss.exe" (Windows XP);
– раскройте ветвь
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe];
– удалите строковый (REG_SZ) параметр Debugger со значением C:\WINDOWS\csrss.exe;
– удалите раздел
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CSRSS];
– раскройте ветвь
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Devices];
– удалите строковый (REG_SZ) параметр explorer.exe со значением explorer.exe;
– закройте ERD Commander RegistryEditor;
– нажмите Start –> Log Off –> Restart –> OK.
3. Загрузите ПК в штатном режиме;
– для предотвращения повторного самозаражения системы отключите восстановление системы (или вручную очистите папку System Volume Information);
– очистите кэш интернет-файлов;
– перезагрузите ПК;
– включите восстановление системы;
– просканируйте систему антивирусом со свежими базами.
Примечания
1. Будьте осторожны при манипуляциях с Реестром (см. Что такое Реестр Windows?)! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!
2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами (см. Как выбрать антивирус?) с регулярно (не менее одного раза в неделю!) обновляемыми базами.
3. Почаще делайте резервное копирование важной информации (см. Как избежать утраты информации?).
4. Чтобы различать подозрительные файлы, «косящие» под папки, можно отключить опцию Скрывать расширения для зарегистрированных типов файлов:
– откройте Мой компьютер, выберите меню Сервис –> Свойства папки… (или нажмите Пуск –> Настройка –> Панель управления –> Свойства папки);
– в открывшемся диалоговом окне Свойства папки откройте вкладку Вид;
– в разделе Дополнительные параметры снимите флажок Скрывать расширения для зарегистрированных типов файлов –> OK.
5. Отключите автозапуск компакт-дисков, съемных дисков и флешек (см. Windows: как отключить автозапуск компакт-дисков, съемных дисков и флешек?).
6. Вопреки заверениям разработчиков антивирусов, ни один антивирус не устранит последствия вирусной атаки, – это нужно сделать вручную!
Источник: Интернет
Валерий Мороз
(19554)
9 лет назад
Решение:
1) Проверьте PC с помощью Kaspersky Virus Removal Tool 2015 или Kaspersky Rescue Disk 10 (если Kaspersky Virus Removal Tool не запускается или зависает даже в расширенном режиме);
2) Если проблема сохранится - обратитесь в раздел "Борьба с вирусами" официального форума Лаборатории Касперского, где приложите требуемые по правилам логи.
1) Проверьте PC с помощью Kaspersky Virus Removal Tool 2015 или Kaspersky Rescue Disk 10 (если Kaspersky Virus Removal Tool не запускается или зависает даже в расширенном режиме);
2) Если проблема сохранится - обратитесь в раздел "Борьба с вирусами" официального форума Лаборатории Касперского, где приложите требуемые по правилам логи.
Похожие вопросы
Проследив, я нашёл файл cssrss.exe, который поселился в папке Windows, хотя системный файл находится в System32. Помогите, пожалуйста удалить его.